Перейти к содержимому


Фото
- - - - -

Вредоносное ПО предположительно по-разному ведёт себя в зависимости от антивируса.


  • Please log in to reply
23 ответов в этой теме

#1 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 12 Декабрь 2020 - 09:39

Наткнулся в интернете на один инсталляционный пакет. Антивирус (не Drweb) сразу ругался на исполняемый файл установщика, но я решил потестировать и его отключил. После установки (игры) запустил антивирус, и сразу же он обнаружил кучу малвари, включая трояны, стилеры и изменённый хост. В процессе лечения были выявлены файлы малвари в папках антивируса. Но раз установленный антивирус был определённый, то, возможно, и при другом антивирусе файлы пропишутся и в его директорию? Есть ли смысл проверить для выявления угроз?



#2 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 12 Декабрь 2020 - 20:48

В общем, никому ничего не надо... Но я выявил неизвестный файл C:\ProgramData\Doctor Web\Setup\drweb-win-space\win-space-setup.exe. Скоро отправлю на анализ. Размер -- ~9 мб. А кстати, есть ли смысл отправлять dll- файлы?


Сообщение было изменено Smart_D15: 12 Декабрь 2020 - 20:49


#3 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 12 Декабрь 2020 - 20:53

В общем, никому ничего не надо... Но я выявил неизвестный файл C:\ProgramData\Doctor Web\Setup\drweb-win-space\win-space-setup.exe. Скоро отправлю на анализ. Размер -- ~9 мб.

Сперва подпись посмотрите.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#4 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 12 Декабрь 2020 - 21:16

подпись посмотрите.

Поймали за ногу. :) А для чего он? Онлайн-установщика у вас вроде не водится...



#5 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 12 Декабрь 2020 - 21:26

В общем, никому ничего не надо... Но я выявил неизвестный файл C:\ProgramData\Doctor Web\Setup\drweb-win-space\win-space-setup.exe. Скоро отправлю на анализ. Размер -- ~9 мб. А кстати, есть ли смысл отправлять dll- файлы?

 

чтобы не быть голословным, вы просто покажите проверку с VT (или хеши)



#6 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 12 Декабрь 2020 - 22:51

покажите проверку с VT

https://www.virustotal.com/gui/file/b4a2e83e2885151de54b643bfeb16b205e4c6d9ee1db04b86471675d5170ce2c/detection

Думаете, если какой-то файл отображается чистым на всех вендорах (не этот конкретно, у него подпись), то этому можно доверять (если файл новый)?



#7 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 12 Декабрь 2020 - 23:05

В общем, никому ничего не надо... Но я выявил неизвестный файл C:\ProgramData\Doctor Web\Setup\drweb-win-space\win-space-setup.exe. Скоро отправлю на анализ. Размер -- ~9 мб. А кстати, есть ли смысл отправлять dll- файлы?Yt 

 

Не нужно его отправлять, этот файл и у меня лежит там же (у меня релиз).

 

https://www.virustotal.com/gui/file/b4a2e83e2885151de54b643bfeb16b205e4c6d9ee1db04b86471675d5170ce2c/detection

 

 

 

 

Наткнулся в интернете на один инсталляционный пакет. Антивирус (не Drweb) сразу ругался на исполняемый файл установщика

 

 вот лучше линканите проверку на VT этого пакета (если он конечно по размеру в лимиты влезет). 

Прикрепленные файлы:

  • Прикрепленный файл  Doc.jpg   23,01К   1 Скачано раз


#8 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 13 Декабрь 2020 - 01:06

и у меня лежит там же

А что он делает?

в лимиты влезет

32Гб.



#9 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 13 Декабрь 2020 - 02:00

Ага, посмотрел ещё раз на скрипт: судя по всему, он тупо вычищает (копирует) системные файлы, куда по какой-то причине попадают файлы установленного антивируса. Тогда первое предположение неверно.



#10 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 14 Декабрь 2020 - 11:48

Ага, посмотрел ещё раз на скрипт: судя по всему, он тупо вычищает (копирует) системные файлы, куда по какой-то причине попадают файлы установленного антивируса. Тогда первое предположение неверно.

Вот это поворот  :huh:


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#11 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 351 Сообщений:

Отправлено 14 Декабрь 2020 - 13:02

>После установки (игры) запустил антивирус, и сразу же он обнаружил кучу малвари, включая трояны, стилеры и изменённый хост.

>и при другом антивирусе файлы пропишутся и в его директорию? Есть ли смысл проверить для выявления угроз?

 

Он всегда делает одно и тоже, ему все-равно какой АВ установлен. И да, трой нам давно известен и не представляет интереса.

 

А вот откуда вы взяли зараженный файл было бы интересно узнать.



#12 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 14 Декабрь 2020 - 18:46

было бы интересно узнать.

Как сообщить, куда? Есть определённая страница с игрой, там надо скачать торрент-файл, от него всё уже идёт.



#13 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 14 Декабрь 2020 - 18:50

трой нам давно известен и не представляет интереса.

Однако от меня приняли #9522974 и добавили в базы. Значит, что-то новое было?



#14 pig

pig

    Бредогенератор

  • Helpers
  • 10 850 Сообщений:

Отправлено 14 Декабрь 2020 - 19:09

 

было бы интересно узнать.

Как сообщить, куда?

Ивану в личку.


Почтовый сервер Eserv тоже работает с Dr.Web

#15 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 351 Сообщений:

Отправлено 15 Декабрь 2020 - 11:30

>Однако от меня приняли #9522974 и добавили в базы. Значит, что-то новое было?

 

В указанном тикете 90% - модули касперского, из оставшегося реально интересный файлик один и он действительно ранее невиданный. Остальное неинтересная побочка. 

 

Но все равно спасибо. :)



#16 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 22 Декабрь 2020 - 16:53

реально интересный файлик один и он действительно ранее невиданный.

А можно узнать, какой?



#17 ЛСергей

ЛСергей

    Poster

  • Posters
  • 1 001 Сообщений:

Отправлено 31 Декабрь 2020 - 11:06

Думаете, если какой-то файл отображается чистым на всех вендорах (не этот конкретно, у него подпись), то этому можно доверять (если файл новый)?

bitcomet после скачивания проверяю Др.ВЕБ и  через virustotal, если чисто, то устанавливаю. Установка прошла, спайдер молчит. Запускаю и bitcomet орет, что нет у меня BitComet_x64.exe и просит установить и одновременно с появляется сообщение о трояне. Или троян у биткомет собирается или  подкачивают в процессе установки. При таких скоростях загрузки, скачать 20м заметно не будет.

Бывают, не один раз такое видел, обнаружения известного трояна спустя довольно длительное время использования.


Сообщение было изменено ЛСергей: 31 Декабрь 2020 - 11:06


#18 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 25 Март 2021 - 19:42

Обнаружил ещё один инсталляционный пакет игры, который кроме игры, что в названии, ставит в довесок "World of Tanks" и что-то ещё. У конкурентов "Internet Security" прибил инсталлятор, который был в процессе, а также удалил установленные вдобавок игры (или ярлыки, точно не посмотрел), а у Веба -- нет. Реально ли добиться, чтобы Веб на них реагировал? Сразу скажу, что объём пакета ~2,3 Гб.



#19 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 351 Сообщений:

Отправлено 25 Март 2021 - 20:24

Че-то я сомневаюсь, что АВ удалил игры. Скорее тогда уж ярлыки, которые были палеными.

 

Ссылку на установщик в личку скиньте.



#20 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 599 Сообщений:

Отправлено 25 Март 2021 - 21:49

тогда уж ярлыки, которые были палеными.

Да, похоже на то, т. к. он ссылается на "експлорер".




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых